Er komt een ingrijpende wijziging aan in de wereld van TLS-certificaten. De maximale geldigheidsduur van openbare certificaten wordt vanaf 2026 in stappen verkort naar uiteindelijk slechts 47 dagen in 2029. Dit heeft grote gevolgen voor organisaties die nog afhankelijk zijn van handmatig certificaatbeheer.
Wie stelde dit voor?
Het voorstel is gedaan door Apple, als onderdeel van hun bredere inzet op internetveiligheid. Hoewel Google eerder pleitte voor een maximale looptijd van 90 dagen, stemden zij vrijwel direct vóór Apple’s voorstel toen de stemming begon binnen het CA/Browser Forum – het samenwerkingsverband van certificaatautoriteiten (zoals DigiCert, Sectigo, GlobalSign) en browsermakers (zoals Mozilla, Google, Apple, Microsoft).
Waarom precies 47 dagen?
De 47 dagen zijn niet willekeurig gekozen, maar gebaseerd op een logische kalendertelling:
- 200 dagen = 6 volle maanden (184 dagen) + een halve maand (15 dagen) + 1 dag speling
- 100 dagen = 3 volle maanden (92 dagen) + ~1/4 maand (7 dagen) + 1 dag speling
- 47 dagen = 1 volle maand (31 dagen) + een halve maand (15 dagen) + 1 dag speling
Deze duur sluit goed aan bij geautomatiseerde vernieuwing, zonder te veel risico op verlopen certificaten.
Wat is er mis met het huidige systeem?
Een belangrijk onderdeel van het voorstel is kritiek op het huidige revocatiesysteem (CRL en OCSP), dat volgens het CA/Browser Forum onbetrouwbaar is. In de praktijk negeren browsers deze methoden vaak, waardoor gebruikers risico lopen op verlopen of zelfs misbruikte certificaten.
Om die reden kiest men voor kortere geldigheidsduur: het minimaliseert de kans dat een gecompromitteerd certificaat nog lang actief blijft. In 2023 keurde het forum zelfs zogenaamde short-lived certificates goed, die binnen 7 dagen verlopen en geen CRL of OCSP-ondersteuning nodig hebben.
Wat verandert wanneer?
- Tot 15 maart 2026: Maximaal 398 dagen
- Vanaf 15 maart 2026: Maximaal 200 dagen
- Vanaf 15 maart 2027: Maximaal 100 dagen
- Vanaf 15 maart 2029: Maximaal 47 dagen
- Daarnaast: domeinvalidatiegegevens mogen vanaf 2029 nog slechts 10 dagen hergebruikt worden
Wat betekent dit voor jouw organisatie?
Zonder automatisering wordt certificaatbeheer bijna onmogelijk. Verlopen certificaten kunnen leiden tot onbereikbare websites, onderbroken verbindingen en imagoschade.
Daarom is het nu tijd om in actie te komen:
- Breng in kaart welke certificaten actief zijn
- Implementeer automatiseringstools zoals ACME of commerciële alternatieven
- Zorg voor monitoring en notificaties
- Laat je ondersteunen bij inrichting en beheer
Conclusie
De verkorting van TLS-certificaatgeldigheid naar slechts 47 dagen markeert een grote verschuiving in hoe digitale veiligheid wordt benaderd. Automatisering is straks geen luxe meer, maar een noodzaak. Bedrijven die nu al stappen zetten richting automatische certificaatvernieuwing, voorkomen niet alleen technische problemen maar vergroten ook hun weerbaarheid tegen beveiligingsrisico’s.